ImBetter Stealer

ImBetter és un programari amenaçador dissenyat per robar informació confidencial dels sistemes informàtics i les aplicacions instal·lades. Aquest programari maliciós és capaç d'extreure una àmplia gamma de dades personals i confidencials, com ara contrasenyes, credencials d'inici de sessió, informació de targetes de crèdit i altres dades sensibles que es poden utilitzar per a activitats fraudulentes. Els detalls sobre la cadena d'atac i les capacitats de l'amenaça es van publicar en un informe dels investigadors de ciberseguretat de Cyble Research and Intelligence Labs.

Els actors d'amenaça imiten llocs web legítims de criptomoneda per difondre el robatori ImBetter

Els cibercriminals utilitzen llocs web de pesca que imiten carteres de criptomoneda populars i convertidors de fitxers en línia per orientar-se als usuaris de Windows. Aquests llocs web maliciosos estan dissenyats per enganyar els usuaris perquè baixin programari maliciós que roba informació, que pot comprometre les seves dades sensibles.

El programari maliciós de robatori d'informació ImBetter recentment descobert és capaç de robar les dades confidencials del navegador de les víctimes, incloses les credencials d'inici de sessió desades, les galetes, els perfils d'usuari i les carteres de criptomoneda. A més, el programari maliciós fa captures de pantalla del sistema de la víctima i les envia als atacants.

En ambdós casos de llocs web de pesca, la interacció de l'usuari amb el lloc web, com ara fer clic en determinats botons o enllaços, desencadena el procés d'infecció. Un cop instal·lat el programari maliciós, funciona silenciosament en segon pla, recopilant dades i enviant-les de nou als atacants.

Aquest tipus de ciberatac és especialment perillós perquè pot passar desapercebut durant períodes prolongats, cosa que permet als atacants robar quantitats importants de dades.

Capacitats d'amenaça de l'ImBetter Stealer

El programari maliciós que roba informació examina el codi d'identificador de codi d'idioma (LCID) del sistema infectat per determinar l'idioma i la regió. Si el sistema pertany a alguna de les regions associades a l'idioma rus, com ara kazakh, tàrtar, bashkir, bielorús, iakut o rus-Moldova, el programari maliciós s'acaba. Això suggereix que els atacants probablement són de parla russa.

Si el sistema no pertany a una de les regions identificades, el programari maliciós fa una captura de pantalla del sistema i la desa a la carpeta C:\Users\Public amb el nom de fitxer "Scr-urtydcfgads.png". A continuació, la captura de pantalla s'envia al servidor de comandaments i control (C2, C&C).

Un cop establerta una connexió de sòcol al servidor C&C, el programari maliciós que roba informació recopila diversos detalls sobre el sistema infectat. Això inclou l'identificador de maquinari, els detalls de la GPU, la mida de la memòria RAM del sistema, els detalls de la CPU, els detalls de la pantalla i el nom de l'executable de programari maliciós.

El programari maliciós emmagatzema cada detall del sistema per separat com a cadena de parelles clau-valor a la memòria. A continuació, aquesta cadena es codifica amb el format Base64 i es transmet al servidor C&C a través del sòcol que es va establir en una etapa anterior.

Un cop l'ImBetter hagi acabat d'extreure la informació del sistema, comprova si hi ha aplicacions del navegador instal·lades al dispositiu infectat. El programari maliciós és capaç de comprometre més de 20 navegadors diferents. Segons els navegadors dirigits pel programari maliciós, sembla que es centra molt en els navegadors web basats en Chromium. A més, l'ImBetter Stealer és capaç d'orientar-se a prop de 70 tipus diferents de carteres de criptomoneda.

Aquest comportament demostra les capacitats avançades del programari maliciós per robar informació i l'alt nivell de sofisticació dels atacants que hi ha darrere. És crucial estar atent quan navegueu per Internet, mantenir el programari actualitzat i utilitzar programari anti-malware per reduir el risc d'infecció.